Notícias Notícias

3.06.2015 | admin

Estudo: organizações demoram meses para remediar vulnerabilidades

Em média, quase um ano se passa até que organizações dos setores financeiros e da educação resolvam vulnerabilidades de segurança, segundo uma nova pesquisa da NopSec.

O estudo apresentado pela empresa de segurança NopSec revelou que  organizações da indústria de serviços financeiros e do setor de educação remediam as brechas de segurança, em média, em um prazo de 176 dias. Já o setor de saúde leva em torno de 97 dias para endereçar bug e provedores da nuvem corrigem falhas em aproximadamente 50 dias. Para realizar o estudo, a empresa analisou todas as vulnerabilidades registradas na base de dados americana de vulnerabilidades (National Vulnerability Database) e depois observou um subconjunto de mais de 21 mil vulnerabilidades identificadas em todos os setores da indústria pela rede de clientes da NopSec.

“Baseando-nos em informações com nossos clientes do setor financeiro, eles demoram 176 dias para consertar vulnerabilidades porque eles atuam em um setor altamente regulamentado que impõe procedimentos estritos em termos de mudança de gerenciamento e impõe estritas janelas de tempo para a aplicação dos patchs de segurança”, disse Michelangelo Sidagni, NopSec Chief Technology Officer e diretor da NopSec Labs à SCMagazine.com. “Isso torna todo o processo consideravelmente mais lento.”

Mas, o processo precisa acelerar – Sidagni disse que mesmo 50 dias para remediar uma vulnerabilidade é ainda muito tempo, especialmente se considerarmos que atacantes muito bem preparados podem criar exploits ad hoc de vulnerabilidades conhecidas em apenas alguns dias.

A resposta mais rápida pode estar em uma melhor priorização, disse Sidagni. Ele explicou que organizações estão confiando demais apenas no sistema de pontuação de vulnerabilidades (Common Vulnerability Scoring System – CVSS) para medir os riscos associados às vulnerabilidades, e não estão olhando outros fatores tais como se os exploits estão publicamente disponíveis ou se um malware está focando uma vulnerabilidade específica.

Sidagni também acrescentou que muitas organizações ainda gerenciam suas vulnerabilidades utilizando tabelas de Excel e outros sistemas não apropriados, então não há uma visão unificada para os times responsáveis pela remediação. Maior automação em áreas como gerenciamento de tarefas, bem como testes integrados e remediação em ciclos SecDevOps podem ajudar a melhorar o processo, disse.

Também no relatório, a NopSec analisa quais indústrias possuem mais vulnerabilidades por ativo, que significa a média de vulnerabilidades presentes em cada servidor. Provedores Cloud/TI possuem em média 18 vulnerabilidades por ativo, enquanto o serviço financeiro possui seis e o setor de saúde, três. “Isso é provavelmente pelo fato de que os provedores da nuvem/TI fazem melhor uso das soluções open source bem como um uso amplo de soluções de software para acelerar sua flexibilidade de implantação”, analisou Sidagni. “Isso, por sua vez, contribui com o número de vulnerabilidades para cada servidor.”

Análise adicional diz respeito à correlação sobre a criticidade da vulnerabilidade e o número de menções no Twitter. Vulnerabilidades consideradas malware possuem uma média de 115 menções no Twitter, e vulnerabilidades consideradas críticas pelo NopSec possui uma média de 748 tweets.

“A análise das redes sociais indica que existe uma relação direta entre o risco de uma vulnerabilidade de segurança e sua menção em redes sociais, independentemente de sua pontuação CVSS”, afirmou Sidagni. “Por exemplo, o Heartbleed tinha uma classificação média no CVSS, mas foi uma das vulnerabilidades mais comentadas nas mídias sociais.”

Ele acrescentou que a “pontuação CVSS é geralmente um fraco indicador do verdadeiro risco de vulnerabilidade enfrentado por uma empresa.  Correlações com exploits disponíveis publicamente, malwares em estado ‘selvagem’ e menções em redes sociais são melhores indicadores sobre os riscos de vulnerabilidade.”

Livremente traduzido da matéria publicada na SC Magazine.

Share:

| More

Press agent

Roberta Maia - roberta.maia@techbiz.com.br
(21) 3736-7058/ (21) 98290-4653